Die Experten der Panda Software Virenlabore warnen vor einem neuen Trojaner, der auf gleich zwei Wegen versucht in die Brieftaschen von Computer-Nutzern zu greifen. Während er im Hintergrund still und heimlich nach Zugangsdaten und Passwörtern für Online-Banking Accounts sucht, macht er sich beim User als erpresserischer Trojaner erkennbar, indem er alle Dokumente im infizierten Rechner verschlüsselt und somit das Öffnen der Datenpakete verhindert. Damit der Anwender wieder Einsicht in seine Dateien bekommt, fordert der Trojaner ihn auf, ein Lösegeld für die Dechiffrierung und den entsprechenden Key zu bezahlen.
Sinowal.FY verbreitet sich über E-Mail Anhänge, Internet Downloads, CD-ROMs, etc. Wenn er sich auf einem System installiert hat, verschlüsselt er jedes einzelne Dokument - ausgenommen eines von ihm erstellten mit der Bezeichnung "read_me.txt", welches die Forderung des "Erpressers" enthält: Zahlt der Nutzer 300 Dollar, hat er wieder freien Zugriff auf seine eigenen Dokumente. Weigert er sich das Lösegeld zu zahlen, droht der Trojaner damit, alle Daten unwiederbringlich zu löschen. Tatsächlich besteht diese Gefahr nicht, da die Dokumente auf dem Computer gespeichert bleiben - jedoch verschlüsselt.
Um den Zahlungsvorgang zu beschleunigen und den Computer-User unter Druck zu setzen, setzt er eine Frist für die Zahlung fest.
Obwohl Sinowal.FY zu einer bekannten Malware-Familie gehört, handelt es sich hierbei um das erste Sinowal-Exemplar, das Daten "kidnappet" und ein Lösegeld verlangt. Alle bis dato bekannten Mitglieder dieser Familie beschränkten sich auf das Ausspionieren persönlicher Daten. Sinowal.FY ist ein gutes Beispiel für den Variationsreichtum von Malware-Programmierern, die verstärkt versuchen mit einem einzelnen Schädling mehrere gewinnbringende Aktionen parallel durchzuführen.
Weitere Bekannte Ransomware-Exemplare sind z.B. die Trojaner der PGPCoder Familie, deren Verschlüsselungstechnik mit jedem neuen Muster immer komplexer werden, oder Ransom.A, der dem User damit droht, alle 30 Minuten eine weitere Datei zu zerstören, wenn er den Betrag von 10,99 Dollar nicht bezahlt. Arhiveus.A, erpresst im Gegensatz zu anderen Schädlingen kein Geld vom Anwender, sondern fordert ihn auf, in einer Online Drogerie einzukaufen.
Von den Sicherheitsspezialisten 'Panda Software' kommt die Meldung, dass sie einen Trojaner entdeckt haben, der iPhone-interessierte User auf manipulierten Webseiten leitet. Panda Software schätzt, dass zwischenzeitlich schon mehr als 7.500 Computer mit dem Trojaner infiziert sind, die zu einem Botnetz zusammengeschlossen wurden. Hierbei soll es von den Autoren der Software möglich sein festzulegen, wie die Opfer am jeweiligen PC auf gefälschte iPhone-Web-Shops umgeleitet werden.
So haben die Cyber-Kriminelle beispielsweise die Möglichkeit, einen Nutzer direkt auf eine manipulierte Seite umzuleiten, wenn das Opfer die Website-Adresse eines regulären Shops in die Adresszeile seines Browsers eingibt. Eine andere Möglichkeit die potentiellen Opfer abzugreifen ist, wenn der User über eine Suchmaschine Links zu iPhone-Shops sucht. Hier wird ihm eine gefälschte Suchmaschinenseite mit gefälschten URLs eingeblendet. Bei einer dritten Variante werden dem Opfer einfach Pop-Ups oder Werbebanner vorgesetzt, um sie auf ihre Seiten zu locken.
Alle Varianten haben nur ein Ziel, nämlich Nutzer und Kreditkarten-Informationen vom Opfer abzugreifen. Kenner meinen, dieser Trojaner vereint bereits die Kombination aus Phishing und Adware. Den Internet-Usern bleibt nur noch eine gehörige Portion Misstrauen und ein stets aktuelles Antiviren-Programm.
Das Heise-Portal berichtet, dass Bankseiten nach wie vor Schwachstellen aufweisen. Als Beispiel nennt Heise die Website 'sparkasse.de', die sich für 'Frame-Spoofing' immer noch verwundbar zeigt. (Der Internet Explorer bis Version 6 erlaubt in seiner Default-Einstellung so genannte Cross-Domain-Zugriffe über Frames; man bezeichnet dies als Frame-Spoofing.)
Im Fall von sparkasse.de schreibt Heise, Phisher hätten diese Seite für ihre Zwecke missbrauchen und PIN und TAN-Nummern von unbedarften Kunden abgreifen können. Heise Security hätte das Problem den Portalbetreibern von sparkasse.de mitgeteilt, die das Problem zwar insoweit behoben hätten, doch würde es immer noch genügend Seiten geben, die eine derartige Manipulation zuließen (Heise nennt als Beispiel das Portal 'finanzen.sparkasse.de'.
Weiter heißt es in dem Heise-Bericht: In einer Stellungnahme gegenüber c't-TV betonte der Deutsche Sparkassen- und Giroverband, "... dass die Sicherheit erhöht wurde. Zudem sei man vom TÜV Rheinland zertifiziert, der regelmäßig die Sicherheit der Webseiten prüfe". Aus welchem Grund die Portalseite 'finanzen.sparkasse.de' immer noch Sicherheitslücken aufweist, blieb in der Stellungnahme unbeantwortet.
Dieses Sparkassen-Portal ist aber nicht das einzige Portal mit Schwächen, die immer noch nicht beseitigt sind. Heise nennt als Beispiel noch die Sparkasse Hannover und (bis letzte Woche auch noch) die Stadtsparkasse Düsseldorf.
Aus einem Bericht des niedersächsischen Landeskriminalamtes geht hervor, dass seit Jahresbeginn alleine in Niedersachsen einen Schaden von rund acht Millionen Euro durch EC-Karten-Betrug entstanden ist. Nach Aussagen des Landeskriminalamtes sind die Täter in mindestens 16 Orten an gut 30 Automaten aktiv gewesen. Die jüngsten Aktivitäten registrierte das LKA in den Städten Göttingen, Braunschweig und Hannover.
Wie es heißt, gehen die Täter immer nach dem gleichen Muster vor, dass mit "Skimming" umschrieben wird. Die Täter montieren an Geldautomaten gut getarnte Lesegeräte an den Eingabeschlitzen. Wird eine Karte eingeschoben, wird die eingegebene PIN-Nummer mittels Funkkamera aufgezeichnet und so an die Täter weiter gegeben. Verschiedentlich nutzen die Täter auch einfache Mittel wie beispielsweise Puder und lesen dann die Spuren direkt an der Tastatur ab. Teilweise sind Lesegeräte auch mit GSM-Modulen verbunden, um die eingegebene PIN-Nummer dann mittels SMS weiterzuleiten.
Mittels eines zusätzlichen Gerätes werden dann die Kartendaten auf EC-Karten-Rohlinge übertragen, um dann zumeist im Ausland Geld abzuheben (in Deutschland erkennen Geldautomaten inzwischen gefälschte Karten). Das LKA spricht von derzeit etwa 150 geschädigte Bankkunden, die ausgespäht worden seien. Mit den gefälschten Karten sei es für die Gauner dann kein Problem, Geld von ausländischen Automaten abzuheben. Wie es heißt, ergaunern die Täter dabei durchschnittlich 2000 Euro pro Karte.
Jeder, der sich heute mit dem Internet und Internet-Diensten beschäftigen will oder muss, sollte sich auch über die möglichen Gefahren durch so genannte Cyber-Kriminelle informieren. Eine beliebte Variante von Cyber-Abzocker ist das so genannte 'Phishing'. Beim Phishing erhält das Opfer eine E-Mail, vermeintlich von seiner Hausbank, in der er aufgefordert wird, die Bank zu kontaktieren. Hierbei bräuchte er lediglich auf den in der Mail vorhandenen Link zu klicken und sich mittels PIN und TAN-Nummer zu autorisieren.
Ist das Opfer auf eines der E-Mails hereingefallen, so hat er sich den Tätern offenbart. Mittels der PIN- und der TAN-Nummer kann der Dieb dann zu mindestens eine Geldtransaktion vornehmen und seinen Opfer finanziell schädigen. Oft werden unbedarfte Opfer aufgefordert, noch eine zweite TAN-Nummer einzugeben und das böse Erwachen ist dann zumeist sehr groß.
Man sollte meinen, dass die Banken nach Bekannt werden derartiger Sicherheitslücken alles tun, um mögliche Manipulationen seitens Cyber-Kriminelle zu verhindern, doch dem ist nicht so: Ein Tester mit dem Pseudonym 'JdM' von '23sr - security research' hat festgestellt, dass die Portale gewisser Banken keinesfalls sicher sind und hat diese auch dokumentiert.
So lassen sich beispielsweise über spezielle URLs der Dresdener Bank und der Comdirect-Bank einzelne Cyber-Frames vorschalten und mit eigenen Inhalten versehen. Eine Volksbanken-Seite kann man über eingeschleusten Skript-Code neu gestalten, und Postbank und Stadtsparkasse Düsseldorf bieten einen URL-Weiterleitungsservice auf externe Seiten. Damit könnten Phisher eine URL basteln, die zwar auf die Bank verweist, Internetnutzer aber schlussendlich auf ihren Phishing-Server lockt.
Im Heise-Portal ist dazu ebenfalls ein Beitrag zu lesen. Hier heißt es unter anderem: Ein Teil des Problems liegt sicherlich darin, dass beispielsweise Cross Site Scripting (XSS) nach wie vor als Kavaliersdelikt gilt und die Banken beziehungsweise deren Dienstleister nicht systematisch dagegen vorgehen, sondern nur jeweils die gerade bekannt gewordenen Lücken stopfen. Und manche tun nicht einmal dies. So veröffentlichten Unbekannte im Februar eine Reihe von XSS-Lücken, die zum Teil immer noch nicht geschlossen sind. Eine davon findet sich auf einem System der Fiducia – nach eigenen Aussagen einer der "führenden IT-Anbieter für Finanzdienstleister in Deutschland", der unter anderem viele Volksbanken betreut.
